1. 

Tribunalul Bucureştin (Bukarestin alueellinen tuomioistuin, Romania) esittämän ennakkoratkaisupyynnön taustalla on matkaviestinpalvelujen tarjoajan ja kansallisen tietosuojaviranomaisen välinen oikeusriita, joka koskee sitä, mitä velvoitteita ensin mainitulle asetetaan asiakkaan kanssa käytävissä sopimusneuvotteluissa siltä osin kuin on kyse henkilöllisyystodistuksen kopioimisesta ja kopion säilyttämisestä.

2. 

Ennakkoratkaisupyyntö tarjoaa unionin tuomioistuimelle tilaisuuden selventää rekisteröidyn ”suostumuksen” käsitettä keskeisenä osana unionin tietosuojalainsäädäntöä, jonka taustalla on viime kädessä perusoikeus tietosuojaan. Tässä yhteydessä unionin tuomioistuimen pitäisi myös ratkaista, kenelle kuuluu todistustaakka siitä, onko rekisteröity antanut suostumuksensa.

3.

Direktiivin 95/46/EY ( 2 ) 2 artiklan h alakohdan mukaan ”rekisteröidyn suostumuksella” tarkoitetaan tässä direktiivissä ”kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn”.

4.

Direktiivin II luvussa vahvistetaan yleiset säännöt henkilötietojen käsittelyn laillisuudesta.

5.

Saman direktiivin 6 artiklassa, joka käsittelee ”tietojen laatua koskevia periaatteita”, ( 3 ) säädetään seuraavaa:

”1.   Jäsenvaltioiden on säädettävä siitä, että

– –

2.   Rekisterinpitäjän on huolehdittava 1 kohdan noudattamisesta.”

6.

Direktiivin 95/46 7 artikla käsittelee ”tietojenkäsittelyn laillisuutta koskevia periaatteita”. ( 4 ) Tämän säännöksen mukaan ”jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,

– –”

7.

Asetuksen (EU) 2016/679 ( 5 ) 4 artiklan 11 alakohdan mukaan ”suostumuksella” tarkoitetaan tässä asetuksessa ”mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”.

8.

Kyseisen asetuksen 6 artiklan 1 kohdan a ja b alakohdassa säädetään seuraavaa:

”Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

9.

Saman asetuksen 7 artiklan 1 kohdassa säädetään, että ”jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn”.

10.

Henkilöiden suojasta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annetussa laissa nro 677/2001 (legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, jäljempänä laki nro 677/2001) ( 6 ) säädetään direktiivin 95/46 säännösten saattamisesta osaksi kansallista lainsäädäntöä.

11.

Lain nro 677/2011 32 §:ssä säädetään seuraavaa:

”Henkilötietojen käsitteleminen rekisterinpitäjän toimesta tai tämän toimeksiannosta jonkun muun toimesta 4–10 §:n säännösten vastaisesti tai siten, että 12–15 §:ssä tai 17 §:ssä säädettyjä oikeuksia ei oteta huomioon, merkitsee hallinnollista rikkomusta, jos sitä ei ole toteutettu sellaisissa olosuhteissa, että on katsottava sen olevan rikos, ja siitä määrätään seuraamukseksi 10000000 Romanian vanhan lein [1000 Romanian lein (RON)] – 250000000 vanhan Romanian lein [25000 RON] suuruinen sakko.”

12.

Orange România SA on Romanian markkinoilla toimiva matkaviestinpalvelujen tarjoaja, joka tarjoaa näitä palveluja sekä PrePay-järjestelmällä ( 7 ) että tekemällä palvelusopimuksia. ( 8 )

13.

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (henkilötietojen käsittelyä valvova kansallinen viranomainen, Romania; jäljempänä ANSPDCP) laati 28.3.2018 tarkastuspöytäkirjan, jossa Orange Românialle määrättiin lain nro 677/2001 32 §:n perusteella, luettuna yhdessä saman lain 8 §:n kanssa, hallinnollinen seuraamus siitä syystä, että sen asiakkaiden henkilöllisyystodistuksia oli kopioitu ja niiden kopioita oli säilytetty ilman heidän nimenomaista suostumustaan.

14.

ANSPDCP totesi, että Orange Românian toimipaikassa oli tehty asiakkaiden kanssa paperilomakkeelle sopimuksia matkaviestinpalvelujen tarjoamisesta ja että näihin sopimuksiin oli liitetty kopiot asiakkaiden henkilöllisyystodistuksista. Sopimuksissa mainittiin muun muassa, että asiakkaille oli ilmoitettu, että Orange România kerää ja säilyttää nämä kopiot, ja että asiakkaat olivat antaneet siihen suostumuksensa merkitsemällä rastin sopimusasiakirjassa olevaan ruutuun.

15.

Sopimuksen kyseisessä kohdassa mainittiin seuraavaa:

”Asiakas ilmoittaa, että

16.

ANSPDCP:n mukaan Orange România ei ole osoittanut, että asiakkaat ovat tietoisesti suostuneet henkilöllisyystodistustensa kopioiden keruuseen ja säilyttämiseen.

17.

Orange România nosti 28.3.2018 määrätystä sakosta kanteen ennakkoratkaisua pyytäneessä tuomioistuimessa.

18.

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan on olemassa sekä sopimuksia, joissa merkitään rasti asianomaiseen ruutuun sen ilmaisemiseksi, että asiakas on vapaaehtoisesti valinnut sen, että hänen henkilöllisyystodistuksensa kopio säilytetään, että päinvastaisia tapauksia, joissa asiakkaat ovat kieltäytyneet antamasta tällaista suostumusta. Orange Românian myyntitoiminnassaan noudattamassa ”sisäisestä menettelystä” ilmenee, että tällaisissa tapauksissa Orange România on merkinnyt tarvittavat tiedot siitä, että asiakas on kieltänyt sitä säilyttämästä henkilöllisyystodistuksensa kopiota, tätä tarkoitusta varten laaditulle erityiselle lomakkeelle ja tehnyt tämän jälkeen sopimuksen. Orange Românian yleisiin sopimusehtoihin sisältyvistä maininnoista huolimatta Orange România ei siis ole kieltäytynyt tekemästä asiakkaiden kanssa tilaussopimuksia, vaikka nämä eivät ole suostuneet siihen, että heidän henkilöllisyystodistuksensa kopio säilytetään.

19.

Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että tässä tilanteessa on erityisen tärkeää saada unionin tuomioistuimelta ratkaisu siihen, mitkä ovat perusteet sen määrittämiseksi, onko suostumus ”yksilöity” ja ”tietoinen”, ja tarvittaessa, millainen todistusarvo pääasiassa kyseessä olevan kaltaisten sopimusten allekirjoittamisella on.

20.

Tässä tilanteessa Tribunalul Bucureşti päätti 14.11.2018 antamallaan välipäätöksellä, joka saapui unionin tuomioistuimeen 29.1.2019, esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

21.

Kirjallisia huomautuksia ovat esittäneet pääasian asianosaiset, Romanian, Italian, Itävallan ja Portugalin hallitukset sekä Euroopan komissio. Orange România, Romanian hallitus ja komissio osallistuivat 11.12.2019 pidettyyn istuntoon.

22.

Käsiteltävässä asiassa unionin tuomioistuinta pyydetään täsmentämään, millä edellytyksillä henkilötietojen käsittelyyn annettua suostumusta voidaan pitää pätevänä.

23.

Asetuksella 2016/679, jota on sovellettu 25.5.2018 alkaen, ( 9 ) kumottiin direktiivi 95/46 tästä samasta päivämäärästä alkaen. ( 10 )

24.

Pääasiassa kyseessä oleva ANSPDCP:n päätös tehtiin 28.3.2018 eli ennen päivämäärää, josta alkaen asetusta 2016/679 on sovellettu. ANSPDCP kuitenkin paitsi määräsi Orange Românialle sakon myös velvoitti sen tuhoamaan kyseessä olevien henkilöllisyystodistusten kopiot. Pääasian oikeusriita koskee myös jälkimmäistä velvoitetta. Kyseisellä velvoitteella on vaikutuksia tulevaisuudessa, asetusta 2016/679 voidaan nähdäkseni soveltaa ratione temporis.

25.

Ennakkoratkaisukysymyksiin on näin ollen vastattava sekä direktiivin 95/46 että asetuksen 2016/679 säännösten kannalta. ( 11 ) Lisäksi kyseinen asetus on otettava huomioon direktiivin 95/46 säännösten tarkastelussa. ( 12 )

26.

Ennakkoratkaisua pyytäneen tuomioistuimen esittämät kaksi kysymystä on muotoiltu liian yleisesti ja abstraktisti, joten ne on syytä rajata pääasian tosiseikkojen mukaisesti, jotta ennakkoratkaisua pyytänyttä tuomioistuinta voitaisiin ohjeistaa ja jotta sen kysymyksiin voitaisiin antaa hyödyllinen vastaus. Tätä varten on ensin aiheellista esitellä lyhyesti pääasian tosiseikat, sellaisina kuin ne ilmenevät ennakkoratkaisupyynnöstä sekä asianosaisten erityisesti unionin tuomioistuimessa pidetyn istunnon aikana toimittamista tiedoista.

27.

Romanian kansallinen tietosuojaviranomainen, ANSPDCP, määräsi Orange Românialle seuraamuksen sillä perusteella, että se oli kerännyt ja säilyttänyt kopiot asiakkaidensa henkilöllisyystodistuksista ilman heidän suostumustaan. Kyseinen viranomainen totesi, että yhtiö oli tehnyt sopimuksia matkaviestinpalvelujen tarjoamisesta ja että näihin sopimuksiin oli liitetty kopiot henkilöllisyystodistuksista. Sopimuksissa väitetysti määrättiin, että asiakkaille oli ilmoitettu kopioiden keruusta ja säilyttämisestä ja että he olivat antaneet suostumuksensa siihen, minkä osoituksena oli rastin merkitseminen kyseisessä sopimuksen kohdassa olevaan ruutuun. ANSPDCP:n mukaan Orange România ei kuitenkaan ole esittänyt mitään näyttöä siitä, että kyseiset asiakkaat sopimusten tekohetkellä valitsivat tietoisesti sen, että nämä kopiot kerätään ja säilytetään.

28.

Selvittäessään sopimuksen ehtoja henkilölle, joka haluaa ryhtyä sopimussuhteeseen Orange Românian kanssa, tämän yhtiön edustaja käsittelee tavallisesti tietokoneella sopimuslomaketta, jossa on ruutu, jonka rastittamalla asiakas suostuu henkilöllisyystodistuksensa säilyttämiseen. Asiakkaalle ilmoitetaan, että ruutua ei tarvitse rastittaa. Jos asiakas ei suostu siihen, että hänen henkilöllisyystodistuksensa kopioidaan ja sen kopio säilytetään, hänen on ilmaistava tämä omakäteisellä allekirjoituksellaan sopimuksessa. Allekirjoitusvaatimus näyttää perustuvan Orange Românian myyntitoimintaa koskeviin sisäisiin sääntöihin. Asiakkaalle ilmoitetaan, että hän voi kieltäytyä tästä, mutta vain suullisesti, ei kirjallisesti.

29.

Tätä taustaa vasten ymmärrän nämä kaksi kysymystä, jotka olisi tutkittava yhdessä, siten, että ennakkoratkaisua pyytänyt tuomioistuin haluaa niillä selvittää, antaako rekisteröity, joka aikoo tehdä yrityksen kanssa sopimuksen matkaviestinpalvelujen tarjoamisesta, tälle yritykselle direktiivin 95/46 2 artiklan h alakohdassa ja asetuksen 2016/679 4 artiklan 11 alakohdassa tarkoitetun ”yksilöidyn ja tietoisen” ja ”vapaaehtoisen” suostumuksensa, jos hän joutuu muilta osin vakiomuotoisessa sopimuksessa vahvistamaan omakätisellä allekirjoituksellaan, että hän ei suostu henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen.

30.

Ennakkoratkaisua pyytänyt tuomioistuin näyttää tässä yhteydessä tarvitsevan ohjeita siitä, millainen todistustaakka ja näyttökynnys kyseisellä yrityksellä on.

31.

Käsiteltävä asia koskee henkilötietojen käsittelyä siinä yhteydessä, kun tehdään sopimusta matkaviestinpalvelujen tarjoamisesta.

32.

Kaikessa henkilötietojen käsittelyssä ( 13 ) on noudatettava yhtäältä tietojen laatua koskevia periaatteita, jotka mainitaan direktiivin 95/46 6 artiklassa tai asetuksen 2016/679 5 artiklassa, ja toisaalta jotakin tietojenkäsittelyn laillisuutta koskevista periaatteista, jotka luetellaan kyseisen direktiivin 7 artiklassa tai kyseisen asetuksen 6 artiklassa. ( 14 ) Kuten komissio korostaa, direktiivin 95/46 7 artiklassa vahvistetut kuusi periaatetta ovat itse asiassa ilmaus laajemmasta periaatteesta, joka vahvistetaan direktiivin 6 artiklan 1 kohdan a alakohdassa, jonka mukaan henkilötietoja on käsiteltävä asianmukaisesti ja laillisesti.

33.

Direktiivin 95/46 7 artiklassa vahvistetaan tyhjentävä luettelo tapauksista, joissa henkilötietojen käsittelyä voidaan pitää laillisena. ( 15 ) Henkilötietojen käsittely on sallittua ainoastaan, jos vähintään yhtä kuudesta tietojenkäsittelyn laillisuutta koskevasta periaatteesta noudatetaan. Yksi näistä periaatteista on rekisteröidyn yksiselitteisesti antama suostumus.

34.

Rekisteröidyn suostumus määritellään direktiivin 95/46 2 artiklan h alakohdassa, jonka mukaan sillä tarkoitetaan kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.

35.

Tämä sanamuoto vastaa pitkälti ( 16 ) asetuksen 2016/679 4 artiklan 11 alakohdan sanamuotoa, jonka mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. ( 17 )

36.

Rekisteröidyn suostumusta koskeva vaatimus on keskeinen osa unionin tietosuojalainsäädäntöä. ( 18 ) Se mainitaan Euroopan unionin perusoikeuskirjassa, jonka 8 artiklan mukaan tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Laajemmassa asiayhteydessä tarkasteltuna suostumuksen käsite mahdollistaa sen, että rekisteröity voi itse päättää, onko hänen oikeuttaan henkilötietojen suojaan perusteltua rajoittaa. ( 19 )

37.

Unionin tietosuojalainsäädännön johtavana periaatteena on ajatus yksityishenkilöstä, joka kykenee itse päättämään henkilötietojensa käytöstä ja käsittelystä itsemääräämisoikeutensa mukaisesti. ( 20 ) Suostumuksen vaatimus mahdollistaa sen, että yksityinen voi tehdä tämän päätöksen, ja samalla suojaa häntä tilanteissa, jotka jo luonnostaan ovat epäsymmetrisiä. ( 21 ) Suostumus täyttää direktiivin 95/46 ja asetuksen 2016/679 edellytykset vain, jos se on vapaaehtoinen, yksilöity ja tietoinen.

38.

Näiden säännösten sanamuotojen näennäisestä erilaisuudesta on vielä esitettävä kolme lyhyttä huomiota.

39.

Ensinnäkin asetuksen 2016/679 4 artiklan 11 alakohdassa, päinvastoin kuin direktiivin 95/46 2 artiklan h alakohdassa, viitataan ”yksiselitteiseen” tahdonilmaisuun. Mielestäni syy tähän on yksinkertainen: edellä jo mainitsemassani direktiivin 7 artiklan a alakohdassa, jossa säädetään tietojenkäsittelyn laillisuutta koskevista periaatteista, edellytetään, että rekisteröity on antanut suostumuksensa ”yksiselitteisesti”, kun taas asetuksen 2016/679 vastaavaan säännökseen – eli 6 artiklan 1 kohdan a alakohtaan – ei sisälly tällaista täsmennystä. Toisin sanoen yksiselitteisen tahdonilmaisun vaatimus on vain sisällytetty asetuksessa 2016/679 olevaan yleisempään säännökseen.

40.

Toiseksi asetuksen 2016/679 4 artiklan 11 alakohdassa täsmennetään, että rekisteröity ilmaisee tahtonsa ”antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”. Tämä asetuksessa tehty selvennys on tosiaankin uusi, eikä sille löydy semanttista vastinetta direktiivistä 95/46.

41.

Kolmanneksi rekisteröidyn suostumuksen ”tietoisesta” luonteesta on todettava, että direktiivin 95/46 ranskankielinen versio poikkeaa asetuksen 2016/679 ranskankielisestä versiosta. Direktiivin 2 artiklan h alakohdassa käytetään ilmausta ”manifestation de volonté – – informée” ja asetuksen 4 artiklan 11 alakohdassa taas ilmausta ”manifestation de volonté – – eclairée”.

42.

Mielestäni tämä sanamuodon muutos hämmentää enemmän kuin selventää, koska ymmärtääkseni ranskankielinen versio on ainoa kieliversio tai ainakin yksi harvoista kieliversioista, joissa tällainen ero on tehty. Monissa kieliversioissa – kuten sattumoisin muiden romaanisten kielten versioissa –, käytetään tässä kohden täsmälleen samaa sanamuotoa, ( 22 ) kun taas muissa kieliversioissa saattaa olla tässä kohden hienoisia eroja, mutta ei sentään niin suuria kuin ranskankielisessä versiossa. ( 23 )

43.

Palaan tietoisen suostumuksen käsitteeseen jäljempänä.

44.

Vaatimus rekisteröidyn tahdon ”ilmaisusta” viittaa selvästikin aktiiviseen eikä passiiviseen toimintaan, ( 24 ) ja se edellyttää, että rekisteröidyllä on laaja autonomia päättäessään suostumuksen antamisesta. ( 25 ) Unionin tuomioistuin on todennut erityisesti tilanteessa, jossa oli kyse internetsivustolla järjestetystä sähköisestä arvonnasta, että valmiiksi rastitetulla ruudulla annettu suostumus ei merkitse internetsivuston käyttäjän aktiivista toimintaa. ( 26 )

45.

Mielestäni tämä toteamus pätee yhtä hyvin analogiseen ympäristöön: valmiiksi rastitetulla ruudulla annettu suostumus ei voi merkitä henkilön aktiivista suostumusta silloinkaan, kun kyseessä on fyysinen asiakirja, jonka kyseinen henkilö lopulta allekirjoittaa. Tällaisessa tilanteessa ei nimittäin voida tietää, onko tällainen valmiiksi laadittu teksti luettu ja sisäistetty. Tilanne ei ole yksiselitteinen. Henkilö on voinut lukea tekstin tai sitten ei. Hän on saattanut jättää sen lukematta pelkkää huolimattomuuttaan, jolloin ei ole mahdollista määrittää, onko suostumus annettu vapaaehtoisesti. ( 27 )

46.

Siitä ei saa jäädä mitään epäilystä, että rekisteröity ei ole saanut riittävästi tietoa. ( 28 )

47.

Rekisteröidylle on ilmoitettava kaikista tietojenkäsittelyyn ja sen seurauksiin liittyvistä seikoista. Hänen on erityisesti voitava tietää, mitä tietoja hänestä käsitellään, miten kauan käsittely kestää ja millä tavalla ja mihin tarkoituksiin tietoja käsitellään. Hänen on myös voitava tietää, kuka tietoja käsittelee ja onko niitä tarkoitus siirtää kolmansille osapuolille. Mikä tärkeintä, rekisteröidylle on ilmoitettava, mitä seurauksia on siitä, jos hän kieltäytyy antamasta suostumustaan: edellyttääkö sopimuksen tekeminen suostumista tietojenkäsittelyyn? ( 29 )

48.

Jäljelle jää enää kysymys, kenen vastuulla on osoittaa, että rekisteröity oli tilanteessa, jossa hän saattoi antaa edellä esitettyjen periaatteiden mukaisen suostumuksen.

49.

Asetuksen 2016/679 7 artiklan 1 kohta on selvä eikä jätä tilaa epäilykselle: jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. ( 30 ) Tällä säännöksellä täsmennetään asetuksen 2016/679 5 artiklan 2 kohdassa vahvistettua osoitusvelvollisuuden periaatetta. Mielestäni tämän säännöksen tarkoitusta on tulkittava laajasti siten, että rekisterinpitäjän on paitsi osoitettava, että rekisteröity on antanut suostumuksensa, myös näytettävä toteen, että kaikki tehokkuutta koskevat edellytykset on täytetty. ( 31 )

50.

Tietyssä oikeuskirjallisuudessa pidetään kyseenalaisena sitä, koskeeko asetuksen 2016/679 7 artiklan 1 kohta laisinkaan todistustaakkaa, ja tukeudutaan kyseisen asetuksen syntyhistoriaan. ( 32 ) Siinä väitetään, että vaikka sekä komissio että parlamentti ehdottivat sanamuotoa, jossa viitattiin nimenomaisesti ”todistustaakkaan”, tätä sanamuotoa ei käytetä hyväksytyssä tekstissä eikä siten myöskään voimassa olevassa lainsäädännössä.

51.

Tätä väitettä on syytä tutkia lähemmin.

52.

Komission alkuperäisessä ehdotuksessa ( 33 ) todellakin viitataan rekisterinpitäjälle kuuluvaan ”todistustaakkaan”. Parlamentti ei ensimmäisessä käsittelyssä ( 34 ) puuttunut mitenkään tähän sanamuotoon. Vasta neuvosto ( 35 ) korvasi ilmauksen ”todistustaakka” rekisterinpitäjään viittaavalla ilmauksella ”on pystyttävä osoittamaan”. Lopullinen teksti hyväksyttiin myöhemmin tässä muodossa.

53.

En panisi liikaa painoa tälle sanamuodon muutokselle. ( 36 ) Neuvoston yhteisen kannan johdanto-osassa ei nimittäin missään kohden perustella ehdotettua sanamuodon muutosta. ( 37 ) Tämä viittaa siihen, että mainitun toimielimen tarkoituksena oli muuttaa ainoastaan kyseisen säännöksen sanamuotoa muuttamatta kuitenkaan sen merkitystä. Tältä kannalta tarkasteltuna ilmauksella ”on pystyttävä osoittamaan” oikeastaan vain kuvataan ymmärrettävämmässä muodossa, mitä todistustaakalla tarkoitetaan. ( 38 )

54.

Voidaan siten varmasti olettaa, että asetuksen 2016/679 7 artiklan 1 kohdassa todistustaakka sen osoittamisesta, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn, asetetaan rekisterinpitäjälle. ( 39 ) Jos on epäilyksiä siitä, onko rekisteröity antanut suostumuksensa, epäilykset on poistettava rekisterinpitäjän esittämillä todisteilla. ( 40 ) Todistustaakka siitä, että rekisteröity on saatettu tilanteeseen, jossa hän on voinut antaa vapaaehtoisen, yksilöidyn ja tietoisen suostumuksensa, on selvästi tietojenkäsittelystä vastaavalla yksiköllä.

55.

Direktiivin 95/46 mukainen oikeustila ei tässä suhteessa eroa nykyisestä.

56.

Vaikka direktiiviin 95/46 ei sisältynyt asetuksen 2016/679 7 artiklaan verrattavissa olevaa erillistä säännöstä, jossa säädettäisiin suostumuksen edellytyksistä, useimmat kyseisessä artiklassa mainituista edellytyksistä voidaan löytää myös direktiivistä. Vaikka direktiivissä ei nimenomaisesti vahvisteta todistustaakkasääntöä, se ilmenee ainakin epäsuorasti direktiivin säännöksestä ( 41 ), jonka mukaan ”rekisteröity on yksiselitteisesti antanut suostumuksensa”. ( 42 )

57.

Sovellan seuraavaksi näitä arviointiperusteita käsiteltävään asiaan.

58.

Aluksi on todettava, että kysymys siitä, voiko Orange România vaatia asiakkaitaan suostumaan heidän henkilöllisyystodistustensa kopiointiin ja niiden kopioiden säilyttämiseen, jää käsiteltävän asian kohteen ulkopuolelle, koska kyseiselle yritykselle tällaisen suostumuksen saaminen ei ole sopimuksen tekemisen edellytys. Käsiteltävä asia ei toisin sanoen koske direktiivin 95/46 7 artiklan b alakohdan ja asetuksen 2016/679 6 artiklan 1 kohdan b alakohdan tulkintaa. Mielestäni on täysin perusteltua, että yritys vaatii asiakkaitaan antamaan henkilötietojaan ja erityisesti todistamaan henkilöllisyytensä sopimuksen tekemistä varten. Asiakkaan vaatiminen suostumaan henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen näyttää kuitenkin menevän pidemmälle kuin on välttämätöntä sopimuksen täytäntöön panemiseksi.

59.

Saatavilla olevien tietojen perusteella vaikuttaa siltä, että Orange Românian asiakkaat eivät ennakkoratkaisua pyytäneen tuomioistuimen kuvaamissa olosuhteissa anna vapaaehtoista, yksilöityä ja tietoista suostumustaan.

60.

Ensinnäkään suostumus ei ole vapaaehtoinen. Asiakkaan velvoittaminen vahvistamaan omakätisellä allekirjoituksellaan, että hän ei suostu henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen, ei mahdollista vapaaehtoisen suostumuksen antamista, koska asiakas saatetaan tilanteeseen, jossa hän näennäisesti poikkeaa sopimuksen tekemiseen johtavasta tavanomaisesta menettelystä. Asiakkaiden ei pidä tässä tilanteessa kokea, että heidän kieltäytymisensä suostumasta henkilöllisyystodistustensa kopiointiin ja niiden kopioiden säilyttämiseen ei ole tavanomaisen menettelyn mukaista. Muistutan, että unionin tuomioistuin on painottanut rekisteröidyn aktiivista menettelyä hänen antaessaan suostumuksensa. ( 43 ) Suostumuksen antaminen edellyttää siis rekisteröidyn aktiivista toimintaa. Käsiteltävässä asiassa näyttää kuitenkin käyvän juuri päinvastoin: siinä suostumuksen kieltäminen edellyttää aktiivista toimintaa. Palatakseni tuomioon Planet49 ( 44 ), jos rastin poistamista internetsivustolla valmiiksi rastitetusta ruudusta pidetään asiakkaan kannalta liian suurena rasitteena, silloin asiakkaan ei a fortiori voida kohtuullisesti odottaa vahvistavan omakätisellä allekirjoituksellaan, että hän ei anna suostumustaan.

61.

Toiseksi suostumus ei ole tietoinen. Asiakkaalle ei tehdä täysin selväksi, että hänen henkilöllisyystodistuksensa kopioinnin ja sen kopion säilyttämisen kieltäminen ei tee sopimuksen tekemistä mahdottomaksi. Asiakas ei voi mitenkään tehdä tietoista päätöstä, jos hän ei ole selvillä päätöksensä seurauksista.

62.

Kolmanneksi – ja ainoastaan hypoteettisesti – mikään ei viittaa siihen, että Orange România on onnistunut osoittamaan, että sen asiakkaat suostuivat henkilötietojensa käsittelyyn. Tässä suhteessa Orange Românian sisäisten menettelyjen ilmeinen epäselvyys ei suinkaan edistä sen toteen näyttämistä, että asiakas on antanut suostumuksensa. Tällaista epäselvyyttä ja myyntihenkilöstölle annettuja ristiriitaisia ohjeita ei luonnollisestikaan pidä hyväksyä asiakkaan – in casu rekisteröidyn – kustannuksella.

63.

Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Tribunalul Bucureştin esittämiin ennakkoratkaisukysymyksiin seuraavasti:

Rekisteröity, joka aikoo tehdä yrityksen kanssa sopimuksen televiestinpalvelujen tarjoamisesta, ei anna tälle yritykselle yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 2 artiklan h alakohdassa ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 11 alakohdassa tarkoitettua ”yksilöityä ja tietoista” ja ”vapaaehtoista” suostumustaan, jos hän joutuu muilta osin vakiomuotoisessa sopimuksessa vahvistamaan omakätisellä allekirjoituksellaan, että hän ei anna suostumustaan henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen.